Environnement
Experience Manager
Problème/Symptômes
Un test d’intrusion a été effectué et le risque moyen suivant a été détecté : Méthode HTTP TRACE inutile activée.
Le site a été demandé avec l’en-tête de domaine, mais la réponse HTTP contient des informations sur le nom du serveur. Cela permet aux personnes malveillantes de voir le nom d’hôte d’origine et le nom d’instance AEM. L’en-tête de réponse provient des équilibreurs de charge. Est-il possible de masquer l’hôte X-Original dans les réponses HTTP ?
La solution consiste à définir TraceEnable sur chaque vhost activé comme indiqué ci-dessous :
…
VirtualHost *:80
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable off
…
/VirtualHost